Mopic - stock.adobe.com
Mit Deception-Technologien Angreifer hinters Licht führen
Technologien für die Täuschung erfüllen nur dann ihren Zweck, wenn sie Angreifer gezielt in die Irre führen, verwirren, in eine Sackgasse führen oder in eine Falle locken.
Es ist eine Kunst, Angreifer dazu zu bringen, sich zu verzetteln und sie zu entlarven. Um Angreifer zu täuschen, muss das Sicherheitsteam eines Unternehmens die Dinge aus der Sicht des Gegners sehen.
Um dies zu erreichen, sind mehrere wesentliche Komponenten erforderlich: Unternehmen müssen vollkommene Transparenz schaffen, Informationen in einen Gesamtzusammenhang setzen können, die Absichten eines Angreifers verstehen und schließlich technische Maßnahmen ergreifen, um den Aufwand und damit die Kosten für den Angreifer erheblich zu erhöhen. Ein zentrales Ziel der Täuschung ist es, die Angriffsfläche des Unternehmens zu verändern, um den Gegner zu verwirren und fehlzuleiten.
Der erste Schritt ist es, die IT-Umgebung oder den „digitalen Fußabdruck“ des Unternehmens zu verstehen. Um dies zu erreichen, sollten sich Unternehmen nicht nur darauf konzentrieren, ihre wichtigsten Assets mit marktüblichen Lösungen wie beispielsweise Intrusion-Prevention- und Intrusion-Detection-Systemen zu schützen, sondern alles zu schützen, was Ziel eines Angriffs werden könnte. Hierzu zählen beispielsweise auch alle Switches und Router im Netzwerk.
Um zu verstehen, worauf es ankommt, müssen Sicherheitsteams wissen, wie ein Angreifer die IT-Umgebung des Unternehmens betrachtet. Gegnerische Aktionen konzentrieren sich in der Regel darauf, eine Art Landkarte oder Umgebungskarte für die IT-Infrastruktur zu erstellen, um mehr über den Datenverkehr im Netzwerk zu erfahren.
Diese Informationen werden über einen längeren Zeitraum hinweg gesammelt. Unternehmen, die in den Augen des Gegners statisch und gleichförmig erscheinen, bieten den Vorteil, dass er Schwachstellen und Sicherheitslücken – die gesamte Angriffsfläche – sehr einfach erkennen kann.
Gegnerische Aktivitäten nachverfolgen
Zu verstehen, wie ein Gegner die IT-Infrastruktur des Unternehmens betrachtet, ist von grundlegender Bedeutung für die Verteidigung. Abgesehen von Insider-Bedrohungen beginnen Angreifer oft mit einem Aufklärungsangriff aus der „dunklen Seite“ oder einem nicht zuordenbaren Bereich des Internets heraus und versuchen dabei eine Schwachstelle wie beispielsweise eine unzureichend überwachte Stelle im Netzwerk-Perimeter ausfindig zu machen.
Am Netzwerk-Perimeter angelangt, sucht der Gegner nach wichtigen Informationen wie beispielsweise nach offenen Ports, Protokollen, IP-Adressräumen, DNS (Domain Name System) und anderen Schwachstellen. Dies ist Teil des Aufbaus der „Landkarte“ der IT-Umgebung, die kontinuierlich um aktuelle Informationen erweitert, referenziert, aktualisiert und verfeinert wird.
Nähern sich Angreifer ihrem beabsichtigten Ziel – seien es Endpunkte, ERP-Lösungen oder Finanzsoftware – werden sie in der Regel einen Ansatz entwickeln, um an das gewünschte Asset zu gelangen. Dabei kann es sich beispielsweise um einen Plan handeln, wie es gelingt, die Sicherheitslücke eines Hosts, der sich im Umfeld des Angriffsziels befindet, auszunutzen und dabei die Angriffsaktivitäten zu verschleiern.
Die Raffinesse eines Angreifers besteht meist darin, um jeden Preis zu vermeiden, dass er entdeckt wird. Eine „bedächtige und langsame“ Fortbewegung im Netzwerk wird zum Markenzeichen professionell agierender Angreifer, denn so gewährleisten sie, dass das „Lateral Movement“, das heißt ihre Ausbreitung im Netzwerk, nur schwer aufgedeckt werden kann. Diese Fortbewegung im Netzwerk wird oftmals in den üblichen Mustern des Datenverkehrs versteckt, die der Hacker bereits bei der Erkundung des Angriffsziels ausgemacht hat.
Cyber-Hunt-Teams befassen sich damit, wie sich Gegner im Netzwerk fortbewegen. Diese Informationen zur Ausbreitung im Netzwerk kann dann für die Gestaltung der IT-Umgebung eines Unternehmens und die technischen Begrenzungen eingesetzt werden.
Übliche und bekannte Angriffsformen – beispielsweise Command and Control (C2) oder offensichtliche Ein- und Ausstiegspunkte – treten häufig in bestimmten Bereichen eines Netzwerks auf. Deshalb ist es wichtig, die Kommunikationswege über Hosts und andere Unternehmensressourcen hinweg und die mögliche Fortbewegung eines Gegners im Netzwerk zu verstehen.
Die Wahrscheinlichkeit einer Kompromittierung, die natürlich auch von der Platzierung der Assets innerhalb des Netzwerks abhängt, basiert auch auf dem genauen Verständnis der eigenen IT-Umgebung sowie der Kenntnis der möglichen Kommunikationspfade der Gegner. Dieses Verständnis beeinflusst auch das aktuelle und künftige Sicherheitsniveau, denn daraus ergibt sich die optimale Platzierung der Sensoren und eine erhebliche Verbesserung der Transparenz im Netzwerk.
Einer der effektivsten Ansätze für die Verteidigung des Netzwerks ist es, die Daten, die nicht kontinuierlich verändert werden oder gespeicherte Daten (Data-at-Rest) mit den Daten bei der Übertragung (Data-in-Transit) in Einklang zu bringen. Das schafft umfassende Transparenz im Unternehmen und unterstützt zusätzliche Sicherheitsmaßnahmen wie beispielsweise den Einsatz von Decoys an wichtigen Punkten im Netzwerk. Diese Maßnahme erschwert Hackern einen Angriff und sorgt dafür, dass eine Attacke aufwändiger und kostenintensiver wird.
Diese gesammelten Informationen zu den Kommunikationswegen, die auch unbekannte Protokolle und das Nutzerverhalten einbeziehen, nutzt die umgebungsbasierte Analyse als effektive Verstärkung und Multiplikator. So können Sicherheitsteams verschiedene Perspektiven einbeziehen und neue Fragestellungen entwickeln wie: Ist es möglich, einen Überblick erstellen, der die Transparenz genau aufzeigt? Welche Assets sind verwundbar, wo befinden sich diese und befinden sie sich in der Umgebung von Assets, die eine Datenausschleusung, einen Eindringungsversuch oder Command and Control ermöglichen?
Kennen Unternehmen ihren „digitalen Fußabdruck“ inklusive aller Inhalte, können sie das große Ganze im Blick behalten, ein vollständiges Bild ihrer IT-Umgebung zeichnen sowie die Indikatoren für eine Kompromittierung (IoC) und die Taktiken, Techniken und Verfahren (TTP) der Angreifer erkennen und analysieren.
Deception-Technologien: statische Ziele vermeiden
Es gibt ein sehr einfaches Konzept, um die IT-Infrastruktur eines Unternehmens zu verteidigen: Moving Target Defense (MTD). Dieses Konzept basiert darauf, dass ein bewegliches Ziel schwieriger zu treffen ist als ein statisches. Angreifer werden misstrauisch, wenn sie auf eine unübliche IT-Umgebung treffen, die nicht statisch, sondern dynamisch ist. Unternehmen müssen aktiv werden, um die Wahrnehmung ihrer IT-Umgebung über verschiedene Dimensionen hinweg – beispielsweise die Zeit oder die Topologie – zu verändern. Ansonsten stellen sie für Angreifer ein statisches Ziel dar.
„Deception-Technologien reduzieren den Gesamtanteil der angreifbaren IT-Umgebung, sprich sie verringern die Angriffsfläche.“
Roland Messmer, Fidelis
Bleibt ein Ziel statisch, haben Angreifer den Vorteil der Zeit, denn sie können ihre Kommunikationswege sowie optimale Techniken für die Ausnutzung von Sicherheitslücken und die Möglichkeiten einer Kompromittierung über einen längeren Zeitraum hinweg erkunden und erlernen. Ein effektiver Ansatz für eine IT-Architektur, die sich optimal verteidigen lässt, konzentriert sich darauf, mögliche Angriffsziele zu bewegen oder zu verschleiern und so die Wahrnehmung der Angriffsfläche für den Hacker kontinuierlich zu verändern.
Deception-Technologien reduzieren den Gesamtanteil der angreifbaren IT-Umgebung, sprich sie verringern die Angriffsfläche. Es ist ein naheliegender Weg, den Anteil der angreifbaren Umgebung zu reduzieren, wobei dies für Unternehmen, die mit einer statischen Umgebung arbeiten, weitaus effektiver als für die, die bereits mit einer nicht-statischen Umgebung arbeiten. Die Reduktion der angreifbaren Umgebung kann jedoch eine Schnapsidee sein, wenn es sich um Legacy-Anwendungen handelt, die nicht gepatcht werden können.
Eine weitere Möglichkeit, Angreifer zu täuschen, ist es, den Anteil der nicht-angreifbaren Umgebung zu erhöhen. Der Einsatz von Decoys (Lockvögel), die den Assets ähneln, die bereits im Netz vorhanden sind, erhöht den Anteil der nicht-angreifbaren Umgebung und verringert gleichzeitig den Anteil des ausnutzbaren Bereichs. Infolgedessen wird der Angreifer nach den Kronjuwelen in der nicht-angreifbaren Umgebung suchen – nach ERP-Lösungen, Servern, Finanzsoftware, Datenbanken, HR-Informationen, Hosts, die sich nicht patchen lassen, oder nach anderen Ressourcen – und dabei auf Decoys stoßen, die die Angriffsziele nachahmen. So wird in gewisser Weise seine Perspektive manipuliert, der Angreifer wird abgeschreckt oder frustriert.
Den Decoys können so genannte Breadcrumbs hinzugefügt werden, um die Anziehungskraft auf den Gegner zu erhöhen und um ihn dazu zu verleiten, mit den Decoys in Verbindung zu treten.
Unternehmen können ihre IT-Sicherheit gewährleisten, wenn ihr digitaler Fußabdruck für sie selbst vollkommen transparent ist, sie alle erforderlichen Informationen in einen Zusammenhang setzen können, und somit die Absichten und Strategien der Angreifer verstehen und Maßnahmen ergreifen können, die die Angreifer abschrecken und die Komplexität und damit die Kosten für einen Angriff in die Höhe treiben. Entwickeln Unternehmen ein Verständnis dafür, wie der Gegner sein Angriffsziel, die IT-Umgebung des Unternehmens, betrachtet, kann es die gegnerische Vorgehensweise nachvollziehen, Angriffe vorhersehen und sich besser davor schützen.
Dieses Verständnis ermöglicht es Unternehmen auch, die Angriffsziele zu bewegen oder zu verschleiern, und so die Angriffsfläche aus der Sicht des Gegners zu verändern. Der Angreifer wird immer wieder auf Decoys stoßen, die die eigentlichen Angriffsziele imitieren. Letztlich können dieses umfassende Wissen und das Verständnis des digitalen Fußabdrucks eines Unternehmens als effektive Form der Verteidigung gegen böswillige Akteure und Angreifer genutzt werden.
Über den Autor:
Roland Messmer ist Sales Director bei Fidelis.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.